WinRAR-Zero-Day-Schwachstelle von RomCom-Hackern in gezielten Angriffen ausgenutzt

Eine neu entdeckte WinRAR-Sicherheitslücke (Zero-Day) wurde in aktiven Phishingkampagnen von der Hackergruppe RomCom ausgenutzt. Die Schwachstelle ermöglicht es Angreifern, bösartige Dateien automatisch beim Systemstart auszuführen. Sicherheitsexperten raten den Nutzern dringend, sofort zu aktualisieren, um eine Kompromittierung zu vermeiden.

RomCom-Hacker nutzen WinRAR-Schwachstelle aus

Sicherheitsforscher von ESET enthüllten, dass die Schwachstelle, verfolgt als CVE-2025-8088, eine „Directory Traversal“-Schwachstelle ist. Sie ermöglicht es speziell präparierten Archivdateien, bösartige ausführbare Dateien in den Windows-Startup-Ordner zu entpacken. Dort wird die Schadsoftware dann bei jedem Systemstart automatisch ausgeführt.

Der Bedrohungsakteur RomCom, auch bekannt als Storm-0978, Tropical Scorpius oder UNC2596, nutzte Spear-Phishing-E-Mails, um diese bösartigen Archive zu verbreiten. Die Ziele erhielten überzeugende Köder, die beim Öffnen den Infektionsprozess starteten.

Prominenter Bedrohungsakteur mit Zero-Day-Erfahrung

RomCom hat bereits zuvor Ransomware- und Datendiebstahlkampagnen durchgeführt und nutzt häufig Zero-Day-Exploits. Die Gruppe agiert innerhalb russischer Cyberkriminellenetzwerke und zielt oft auf hochrangige Opfer.

Patch veröffentlicht, aber manuelle Updates erforderlich

Der Anbieter hat WinRAR Version 7.13 veröffentlicht, um die Zero-Day-Schwachstelle zu beheben. WinRAR verfügt jedoch nicht über eine automatische Update-Funktion. Nutzer müssen die neueste Version manuell von der offiziellen Website herunterladen und installieren, um ihre Systeme zu sichern.

Empfohlene Maßnahmen

Sicherheitsexperten empfehlen folgende Schritte:

• Sofortiges Update auf WinRAR 7.13
• Keine Archivdateien aus unbekannten Quellen öffnen
• Endpunktsicherheitslösungen aktivieren, die verdächtiges Dateiverhalten erkennen können

Fazit

Die WinRAR-Sicherheitslücke verdeutlicht die Risiken ungepatchter Software und die Hartnäckigkeit fortgeschrittener Bedrohungsakteure wie RomCom. Da der Exploit nun öffentlich bekannt ist, sind ungepatchte Systeme einem deutlich erhöhten Risiko ausgesetzt. Nutzer sollten umgehend die neueste Version installieren und wachsam gegenüber Phishing-Bedrohungen bleiben.